楼主:
CMJ0121 (请多指教!!)
2025-05-15 16:30:20==== 资安双周报 (250515) ====
初一十五除了呷菜喔外 也要关心一下安全圈的消息
- 大厂也是会 leak API Key
- IoT 孤儿也是会受到关爱
- DevOps 10 分
- PHP ADOdb injection
## 大厂也是会 leak API Key ##
xAI 的开发者在 GitHub 上传 API Key 资安专家分享在 LinkedIn[0] 上
在这边文章中[1] 记录整起事件
## IoT 孤儿也是会受到关爱 ##
根据文章[2] 分享 新的 Mirai 变种出现
这次针对的是 GeoVision IoT 装置 (CVE-2024-6047/CVE-2024-11120)
在后续分析中 对于近期 botnet 开始针对低安全性/EoL 装置进行攻击
这些装置的原厂可能已不存在或者停止维护
## DevOps 10 分 ##
MS 针对 CVE-2025-29813[3] 修复 CVSS3 10 分的 Azure DevOps 工具
在特定的情况 (替换 Token) 下攻击者可以存取特定专案
## PHP ADOdb injection ##
ADOdb 是一个 PHP 常用的数据库处理函式库
近期被发现存在 SQL Injection 漏洞[4] CVSS3 分数为 10
[0]: https://401.tw/kaR4
[1]: https://401.tw/rkm9
[2]: https://401.tw/scyC
[3]: https://www.cve.org/CVERecord?id=CVE-2025-29813
[4]: https://github.com/ADOdb/ADOdb/security/advisories/GHSA-8x27-jwjr-8545